GitHub認証情報が漏えい、リポジトリがコピーされる

株式会社マネーフォワードは5月1日、ソフトウェア開発およびシステム管理に利用しているGitHubの認証情報が漏えいし、第三者による不正アクセスが発生したと発表した。同社によると、GitHub内のリポジトリがコピーされ、ソースコードと、リポジトリ内のファイルに記載されていた個人情報の一部が流出した可能性がある。リポジトリとは、プログラムの設計図などを保管する場所を指す。

マネーフォワードは、流出したソースコードや個人情報の不正利用による被害、および顧客情報を格納している本番データベースからの情報漏えいは確認されていないとしている。クラウド会計、家計簿、決済、カード関連サービスを展開する同社にとって、開発基盤であるGitHubへの不正アクセスは、利用者の不安に直結する事案である。

流出可能性は「カード保持者名」と「下4桁」

流出した可能性がある個人情報は、グループ会社のマネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」に関わる370件。内容は、カード保持者名のアルファベット表記とカード番号の下4桁とされ、5月1日17時時点で、クレジットカード番号の全桁、有効期限、セキュリティコードであるCVVの流出は確認されていない。該当する利用者には、メールなどで個別に連絡するとしている。

マネーフォワードケッサイも同日、親会社であるマネーフォワードでGitHubへの不正アクセスによる情報流出が発生したと公表。同社は、詳細な経緯や被害状況、今後の対応についてはグループ全体の窓口として親会社が情報を集約し、随時更新するとしている。また、「マネーフォワード 掛け払い」および「マネーフォワード 早期入金」については、本事象による影響は確認されていないとした。

銀行口座連携を一時停止、API連携にも影響

同社は追加被害を防ぐ措置として、不正アクセス経路となった認証情報の無効化とアカウント遮断を完了。ソースコードに含まれる各種認証キーやパスワードについても、無効化と再発行をおおむね完了したとしている。

一方で、銀行法に基づく電子決済等代行業者としての責任と、提携金融機関との安全性確認のためとした上で、銀行口座連携機能を一時停止。マネーフォワード クラウドのサポートページでは、API連携をおこなっているすべての金融機関との連携を一時停止していると説明している。停止中は、API連携機能を利用した明細取得や振り込みができないため、CSVファイルのインポートによる明細反映や、FBデータによる振り込みを案内している。

個人情報がGitHub上に残った経緯

マネーフォワードMEのサポートサイトに掲載されたFAQでは、なぜGitHubに個人情報が含まれていたのかについても説明している。同社は、通常はGitHub上に保存するソースコードに個人情報の入力はないとしたうえで、個人情報の取り扱いを伴うサービス更新作業の過程で、個人情報を含むファイルが本来の管理手順から外れ、誤ってGitHub上に保管されていたと説明した。

また、同FAQでは、漏えいしたソースコードおよび今回の対象に、金融機関等連携先のログインに必要な情報は含まれていないとしている。そのため、本件に起因する金融機関等への不正ログインのおそれはなく、現時点で利用者が金融機関等のログイン情報を変更する対応は不要としている。

マネーフォワードとは

マネーフォワードは、東京都港区に本社を置くプラットフォームサービス事業会社。2012年5月に設立され、代表取締役社長グループCEOは辻庸介氏。個人向け家計簿サービス「マネーフォワード ME」、法人向けバックオフィスSaaS「マネーフォワード クラウド」、決済・ファイナンス関連サービスなどを展開している。

同社は今後、開示すべき新しい事実や各サービス稼働への影響が発生した場合、速やかに開示するとしている。